Noen ganger kan en teknologi overlever dens nytte. Et godt eksempel er bil forgasseren. Mens vi har kjent ytelsesforbedringer og drivstoffbesparelse på multi-port direkte innsprøytning i flere tiår, noen (NASCAR!) fremdeles klamrer seg til bruken av utdaterte, men likevel kjent forgasseren. Mye det samme har skjedd med teknologien for å bekjempe Malware. Anti-virus er blitt det "forgasser" av å holde ondsinnet kode ut av våre systemer.

Hva er A / V-programvare?

Anti-virus er fortsatt primært en signatur basert system. Med andre ord definerer vi en kode mønster som vi ønsker å oppdage og deretter søke minnet eller på harddisken for dette mønsteret. Dette er referert til som "application svart liste", fordi vi definerer de dårlige programmene vi ønsker å holde ut av systemet.

Hvor A / V-signaturer kommer fra?

Vanligvis en A / V-kunde vil bli smittet og rapportere problemet til leverandørens sine. A / V-leverandør kan deretter generere et mønster, som tillater sine andre klienter for å være beskyttet fra den samme belastning. Det er også mulig for signaturen for å få generert hvis koden er funnet i naturen før løslatelse, eller hvis en annen leverandør genererer en signatur.

Hva med heuristikk?

Heuristikk ser på mistanke om atferd og deretter hvite lister kjent for å være gode søknader. For eksempel kan vi kontrollere alle forsøk på å opprette en brukerkonto på systemet og deretter se om søknaden er et kjent administrator verktøyet. Denne teknologien har noen virkelig kule potensial, men det har også en rekke svakheter. Den primære problemet, og grunnen heuristikk ser lite til ingen nytte, er det faktum at dens utsatt for falske positiver. Prøv å bruke en ^3. parts verktøy for å administrere brukerkontoer og A / V heuristisk motor er trolig kommer til å blokkere det.

Forretningsmodellen for Malware

Når anti-virus ble først utviklet, hadde Malware to spesielle egenskaper:

1. Malware fordelingen var tregere enn signatur distribusjon.
2. Malware forfattere var for det meste script kiddies forsøker masse forplantning.

Ingen av disse elementene er aktuelt i dagens miljøer. Symantec sier at i 2009 er de i snitt en ny Malware signatur hvert åtte sekunder . For F-Secure, er denne frekvensen nærmere en ny signatur hvert fjerde sekund. Har du oppdaterer youy A / V hvert 4-8 sekunder? Har din A / V-leverandør selv lansere en ny signatur fil hver 4-8 sekunder? Du ser problemet. Selv om du flittig oppdatere A / V hver kveld, har 11,000-20,000 nye signaturer og biter av Malware krysset av.

Men la oss snakke litt mer om punkt nr. 2; script kiddies og masse forplantning. Rundt 2001 eller så la jeg merke til en endring i Malware verden. Folk som virkelig visste hva de gjorde sluttet å gjøre masse release. Tenk på det, mest Malware forfattere vanligvis starter når de er svært unge. Når du fortsatt på skole og bor hjemme, dets trivielt å frigi koden gratis. På et tidspunkt men du trenger for å få en jobb og begynne å tjene noen inntekt. Når du personlig nådd det stedet i livet, hva gjorde du? For de fleste av oss innebærer det å se på hva vi er gode på og prøve å matche det opp til en høyt betalt jobb.

Så hvis du er god til å skrive Malware, hvor er de høyt betalte jobber? Noen muligheter:

• Utpressing - Stjel info og selge den tilbake.
• Spionasje - Stjel info for et konkurrerende selskap, myndigheter, etc.
• Stjel data med verdi i naturen - bank pålogging, kredittkort info, etc.
• Resell botnet og Malware tjenester - Bli en pistol for hire. Typisk spam distribusjon av DDoS.

Mens vi fortsatt har noen flere script kiddies gjøre masse forplantning (tenk på dem som Malware forfattere i trening), har smarte angriperne viste det til en lønnsom forretningsmodell. Når det er en forretningsmodell, har koden selvfølgelig pengeverdi. Dette betyr at en angriper vil ikke risikere masse forplantning av high end Malware kode. De kommer til å sitte på den og bare bruke den når det er potensial for en høy finansiell avkastning. Så vi kan ikke stole på den virkelig ekle ting blir masse spredd lenger. Ting du trenger å bekymre deg mest er brukt på en målrettet måte.

Hvorfor A / V mislykkes så ofte?

Et par problemer bør umiddelbart synlig med ovennevnte modell. Å starte, fordi vi er svarte notering dårlige applikasjoner, er antagelsen alt annet er OK. Hvis vi ikke har en signatur som identifiserer søknaden som ondsinnet, antar vi det er trygt å kjøre. Dette betyr at alle Malware uten en signatur er gratis å infisere systemet. Denne modellen forutsetter også en viss grad av akseptabelt tap. Vanligvis er det et etterslep tid mellom når systemer blir infisert, og når vi får en signatur for å beskytte oss selv. Dette kan være timer, dager eller i noen tilfeller enda måneder .

Problemer under panseret

En av de største problemene med A / V-programvaren er signaturer. De fleste av oss ville ikke engang vurdere å kjøpe en NIDS eller nips som ikke gir adgang til signaturer, men det er akkurat det du får med en A / V system. Dette fører til liten eller ingen forstanden kontroll av underskrifter innen bransjen, samt begrensede tilpasningsmuligheter evne. For eksempel har jeg ennå å se en A / V-leverandør gir meg muligheten til å la mine nettverksadministrator gruppe kjører et passord cracking verktøy fra kjent for å være sikre maskiner. Hvis jeg har noen tilpasning kapasitet i det hele tatt det er en langtekkelig prosess å få konkrete søknader godkjent for bruk, og selv da håndheving er begrenset.

Så hvor går vi herfra?

Med alle disse problemene, det er ikke rart at søknaden kontroll (også kalt søknad hvit notering) er i ferd med å erstatte A / V-programvare som et verktøy av valget for å kontrollere Malware. Jeg skal komme inn søknad kontroll i del 2 av dette innlegget.

Relaterte innlegg:

1. Dealing med malware på Windows (Part 2) - Long Live Application Control
2. Hvorfor anti-virus er død - leve
3. Utnytte Windows "RunAs"-kommandoen
4. Rask tilgang til Windows Administrasjonsverktøy
5. Hvordan tjene penger med din egen personlige Botnet

• Forrige Entry: TIC artikkel om Networkworld
• Next Entry: Invisible sikkerhet bug spray